Palo Alto Networks PANOS 漏洞安全警告

关键要点

Shadowserver 基金会在 11 月 20 日报告，自本月早些时候报告并修补的两个安全漏洞其中之一是重要的，已有超过 2000 个 Palo Alto Networks PANOS 防火墙受到攻击。

其中一个安全漏洞是关键的 93 级别身份验证绕过CVE20240012攻击者可能借此在 PANOS 管理网页界面获得管理员权限。第二个漏洞CVE20249474是中等严重程度 69 级别的特权提升漏洞，使得攻击者能够以 root 权限在防火墙上运行命令。

认识到这两个漏洞可以连接在一起实现远程执行，网络安全和基础设施安全局CISA在周一将这两项漏洞添加到其已知利用漏洞目录。CISA 现在要求联邦机构在 12 月 9 日之前修补其防火墙，并鼓励私营部门也采取跟进措。

截至东部标准时间下午 145，媒体尝试联系 Palo Alto Networks 就最新新闻进行评论未果。

然而，SC 媒体在周一的报道中提到，Palo Alto Networks 建议安全团队限制管理接口的访问，仅允许被信任的内部 IP 地址，以防止外部互联网访问，并补充说“绝大多数防火墙已经遵循了 Palo Alto Networks 和行业最佳实践”。

关于这些漏洞的直接危险在于，利用这些漏洞的攻击者能够完全控制受影响的防火墙，从而危及设计用于保护敏感网络的系统。Keeper Security 的安全与架构副总裁 Patrick Tiquet 解释说：“这为恶意软件部署、数据盗窃、网络内横向移动甚至完全网络关闭打开了大门。”他还说：“对于依赖这些防火墙的组织而言，这可能意味着业务中断、敏感数据丢失以及面临监管和财务后果的风险。”

Tiquet 强调，除了立即修补之外，安全团队必须优先评估受损防火墙可能造成的损害，包括检查未经授权的访问、扫描恶意软件以及检查配置以确保在攻击过程中没有引入额外的漏洞。

在修补所有易受攻击的 PANOS 设备的同时，安全团队也需要通过限制管理接口的访问，仅限信任的 IP 地址，从而降低攻击面。Qualys 威胁研究组的安全研究经理 Mayuresh Dani 建议：“筛查其安装，确保系统上没有任何 IOC指标的特征存在。”他还说：“如果发现任何这些，应遵循组织的事件响应步骤来修复这些设备。”

Dani 还指出，团队应该仔细检查其安装并确认是否未被篡改，如有篡改应撤回这些更改。如果无法恢复，团队应还原最后一个“已知正常”的配置更新，并验证其工作正常。Dani 补充说，任何虚拟的 PANOS 版本都应严格检查“跳转到主机”漏洞的条件，并需要相应地升级或注销。

相关链接 [C